Neue NAS -> Sicherheit: VPN, Quickconnect, Firewall, Ports ändern

[Skyforge]

Hallo zusammen,

ich habe seit ein paar Tagen meine erste NAS und komme bei der Sicherheit nicht mehr weiter.

Auf der DS sind Note-, Audio-, Video-, Cloud-, Photo-, und Download Station installiert. Dazu habe ich Quick Connect aktiviert, damit ich von außen darauf zugreifen kann. Alles ist soweit auf https eingestellt, soweit dies Möglich ist oder auf die kurze Id (http://ip/note).
Zugriffe von außen erfolgen über die Synology Apps, einem Notebook und einem Arbeitsnotebook (Chrome Inkognito-Modus).

Meine DS Firewall ist so eingestellt, 1) Alle Ports für LAN (192.168.178.1-255), 2) Nur die oben genannten Apps (+Weboberfläche) + IPs aus Deutschland zugelassen sind.
-> Diese sind für LAN 1 eingestellt. Ich habe noch LAN 2 angeschlossen für mehr Datendurchsatz, jedoch sind darunter keine Firewall Regeln erstellt. => Muss ich für LAN 2 nochmal Regeln erstellen?

Jetzt würde ich gerne eine VPN Verbindung zu meiner DS aufbauen und habe dafür den VPN Server installiert. Vorher hatte ich L2TP/IPSec aktiviert, um Zugriff auch über Mobile Geräte zu erhalten. Die Ports im Router weitergeleitet. Jedoch hat es nicht mit Android geklappt.
Im Forum habe ich gelesen das OpenVPN am sichersten ist, darauf würde ich dann umsteigen.

Jetzt habe ich noch folgende Fragen:
- Wenn ich vorher von außen per VPN verbinde, bin ich sozusagen in meinem Heim-Netzwerk. Brauche ich dann noch Quickconnect?
- An meinem Arbeitsnotebook kann ich kein OpenVPN Client einrichten, da dieser mit anderen Mitarbeitern geteilt wird. Somit würde ich gerne wie bisher über den Chrome Inkognito-Modus darauf zugreifen können. Gibt es da Sicherheitsbedenken, wenn ich nur Quick Connect verwende in diesem Fall?

Im Anwendungsportal habe ich für die Apps, den Alias aktiviert und von http nach https umleiten lassen. Zusätzlich ist noch Benutzerdefinierte Port von https aktiviert.
- Ich lese über all im Forum, das man wenn einen anderen Port als die Standard-Ports (Filestation 7001, wie da stand) genommen werden sollen.
Soll ich diese nun ändern?

Doch wie genau leite ich das in meiner Fritz-Box um? (Wo weiß ich, doch was gebe ich ein?)
Leite ich den neuen https port auf den alias um oder wie ist die Logik da hinter?

Ich würde gerne die Quick Connect ID eingeben mit dem Alias, falls dies so notwendig ist. Weil es teilweise schneller ist, doch habe ich damit nicht alle Daten offen? Würde das auch so mit OpenVPN gehen?

 

[heavy]

Also so lange du keine switch verwendest der Link Agg unterstütz dann sorgt der Anschluss des zweiten Lan eher zu Problemen als zu einem Vorteil, mangels einer Nas mit zwei Lan kann ich dir zu firewall nichts sagen. Wenn l2tp/ipsec funktioniert würde ich nicht unbedingt auf openvpn umsteigen. Wenn du per VPN in deinem Netzwerk bist brauchst du kein Quickconnect. Um aber eine Verbindung aufbauen zu können brauchst du deine aktuelle externe Ip deshalb haben hier alle einen dyndns Dienst im einstatz.

Aber wenn du so auf sicherheit bist, dann solltest du dich ganz schnell von quickconnect verabschieden, denn das macht eigentlich mit einer ganz großen Brechstage ein rießen Loch ja eigentlich ein Scheunentor in deine Firewall. Quickconnect ist bequem und funktioniert auch in fast allen Fällen aber wie überall ist es bequem ist es unsicher, ist es sicher (eigentlich nur sicherer denn absolute sicherheit gibt es nicht) ist es unbequem.

 

[frankyst72]

auf der einen Seite willst Du die maximale Sicherheit und auf der anderen Seite öffnest Du nach außen was geht, ich zitiere "Note-, Audio-, Video-, Cloud-, Photo-, und Download Station". Das brauchst Du sicher alles unbedingt.

Wie Heavy schon sagte, schau, dass DynDNS läuft und verabschiede Dich von Quickconnect, das bringt dann auch Performancevorteile. Über VPN kann man alles machen, Ich persönlich greife lieber direkt auf die einzelnen Dienste zu, auch wenn ich dazu ein paar mehr Löcher in die Routerfirewall machen muss.

Du kannst den Port 5001 auch auf 22682 (wie Dir beliebt) legen. FritzBox > Internet > Freigaben > Portfreigaben > Portfreigabe bearbeiten > von Port: 22682 bis Port: 22682 und an Port: 5001
22682 (ist hier nur ein beliebiges Beispiel (Hauptsache Du bleibst unter 65000) wenn Du den Port an den 5001 der DS weiter leitest, musst Du nicht mal etwas in der DS anders konfigurieren.

Und ja, die Abänderung der Standardport hat Sicherheitsvorteile, aber auch Komfortnachteile (wenn man jedes mal überlegen muss, was für einen Port habe ich dafür wieder vergeben?) Und aus vielen Netzen (z.B. Arbeit) ist auch oft nicht jeder beliebige Port ansprechbar, da bleibt einen manchmal nur Port 80 und 443, weil sonst nichts anderes geht.

 

[Skyforge]

Du kannst den Port 5001 auch auf 22682 (wie Dir beliebt) legen. FritzBox > Internet > Freigaben > Portfreigaben > Portfreigabe bearbeiten > von Port: 22682 bis Port: 22682 und an Port: 5001
22682 (ist hier nur ein beliebiges Beispiel (Hauptsache Du bleibst unter 65000) wenn Du den Port an den 5001 der DS weiter leitest, musst Du nicht mal etwas in der DS anders konfigurieren.

Vielen Dank für dieses Bsp. das habe ich überall gesucht nur nicht gefunden. Wenn ich VPN einrichte, reicht doch das ich nur VPN (OpenVPN) in der Fritzbox weiterleite. Kann ich auch hier einen anderen Port fürs VPN wählen, intern aber an die richtige weiterleiten oder muss zwingen der Port 1149 (glaub ich) verwendet werden von außen?

Und ja, die Abänderung der Standardport hat Sicherheitsvorteile, aber auch Komfortnachteile (wenn man jedes mal überlegen muss, was für einen Port habe ich dafür wieder vergeben?) Und aus vielen Netzen (z.B. Arbeit) ist auch oft nicht jeder beliebige Port ansprechbar, da bleibt einen manchmal nur Port 80 und 443, weil sonst nichts anderes geht.

Von der Arbeit aus nutze ich nur die Note Station, das reicht mir vollkommen. Da muss mal testen wie das funktioniert, sonst nehme ich mein Tablet dafür.

Ich habe jetzt auf der DS unter DDNS eine neue ID angelegt von synology.me und diese wurde auch mit meinem Account verbunden. Aber der Kreis daneben ist und bleibt grau, obwohl der Verbindungstest sagt es ist alles Normal. Wenn ich dann versuche "id.synology.me" in einer der Apps im Feld "Domänenname/Quickconnect" einzugeben, bekomme ich keine Verbindung.
Habe ich was übersehen oder registriert man irgendwo noch zusätzlich bei Synology selbst die DDNS? Muss ich dafür extra einen Port weiterleiten, obwohl ich DDNS auf der DS eingetragen habe? (Bsp. Fritzbox)

Beste Grüße
Sky

 

[Frogman]

Wenn ich VPN einrichte, reicht doch das ich nur VPN (OpenVPN) in der Fritzbox weiterleite. Kann ich auch hier einen anderen Port fürs VPN wählen, intern aber an die richtige weiterleiten oder muss zwingen der Port 1149 (glaub ich) verwendet werden von außen?

Du kannst extern auch einen anderen nehmen und intern an 1194 UDP weiterleiten - dann aber daran denken, im Client auch explizit den anderen Port anzugeben.

Muss ich dafür extra einen Port weiterleiten, obwohl ich DDNS auf der DS eingetragen habe? (Bsp. Fritzbox)

Nein, einen Port brauchst Du nicht weiterleiten - die Aktualisierung des DDNS-Accounts wird ja von der DS selbst initialisiert.

 

[Skyforge]

Ok, habe ich das so richtig verstanden ?

1) Ich aktivieren OpenVPN auf der DS über den VPN-Server -> Exportiere dann die Konfiguration um diese auf den Clients zu installieren (Win 8 -> Client Programm, Android/IOs -> OpenVPN App,). In der Konfigurations Datei muss ich noch meinen DDNS von Synology + den neuen VPN Port eintragen, der mittlerweile einen grünen Punkt im MyDS Account hat. Beim Login würde ich meinen Benutzer auf der DS eintragen.

Wenn ich mich von außerhalb (anderes Wlan & mobiles) nun verbinden möchte, starte ich die OpenVPN Verbindung.
Wenn ich nun die Seiten oder Apps öffnen möchte, gebe ich nicht mehr die DDNS Adresse ein, sondern meine gewählte interne Adresse (+ den neuen Ports die ich intern vergeben habe, Bsp. NoteStation <ip>:8990 & das Häkchen für https, ist so eingestellt auf der DS).

Wenn das alles so stimmen sollte, wie genau muss ich nun meine Firewall in der DS Konfigurieren?
2) Ich würde sonst erstmal das Standard Profil lassen und nur für LAN 1 (Weil dort die Option bei den Regeln, verweigern möglich ist) die folgenden Regeln erstellen:
Ports: Alle ; IP:192.168.178.1-255 (intern).
Oder hier nur die Dienste angeben, die ich auch tatsächlich verwende?
Muss ich dann noch die Regions Beschränkung von Deutschland vornehmen? (Alle Ports/Nur verwendete?) Oder ist es dann bei VPN egal?

Beste Grüße
Skye

 

[Frogman]

Soweit korrekt. Bei der Firewall der DS solltest Du mindestens mit der ersten Regel den lokalen IPs alle Ports erlauben (Deinem LAN solltest Du vertrauen können). Der VPN-Tunnel endet auf der der DS, dafür brauchst Du eigentlich nicht aktiv werden, da der VPN-Port freigegeben wird bei Aktivierung.

 

[Skyforge]

Ich habe mal alle Ports der Anwendungen geändert und diese sind auch erreichbar.

Nun habe ich folgende Problem:
OpenVPN lief super mit dem Client (Win 8), ich konnte mich einloggen und es wurde auch die Verbindung angezeigt im VPN-Server auf der DS. Konnte mich 4x verbinden.
Testweise habe ich probiert auch den Standard Port 5001 und 5000 zu ändern, doch danach ging garnichts mehr beim VPN. Habe es wieder umgestellt, doch bekomme ich immer noch den Fehler:

TLS Error: client->client or server->server connection attempted from [AF_INET] <ext-ip>:<portvpn>
Zusätzlich habe ich mal bei den Adaptern geschaut und Ethernet2 was erstellt wurde zeigt an "Netzwerkkabel wurde entfernt".

Wie bekomme ich das wieder hin?

Edit: Diese Frage vergessen, bin auf L2TP/IPSec gewechselt, das funktioniert bei mir soweit.

 

[Skyforge]

Vergesst meine Frage vorhin zu OpenVPN, das habe ich aufgegeben, nachdem garnichts mehr ging auch nach einer Neuinstalltion des vpns etc.

Jetzt bin ich dabei L2TP/IPSec VPN aufzubauen. Der Server steht und ich habe eine Frage zur Portweiterleitung.
Die Ports 1701,500 & 4500 soll weitergeleitet werden. Kann man hier irgendwie eigene Ports für außen definieren wie beim OpenVPN?
Ich sehe keine Möglichkeit irgendwo dann meine selbstgewählten Ports eingeben zu können wenn ich später VPN verbinde. Also muss ich die Standard Ports verwenden?